La backdoor di Firebird è provvisoriamente collegata all'APT indiano

Il gruppo di individui noto come DoNot Team è stato collegato all'implementazione di una nuova backdoor basata su .NET chiamata Firebird, che è stata diretta contro un numero limitato di obiettivi in Pakistan e Afghanistan.

I ricercatori di sicurezza informatica hanno affermato che le sequenze di attacco sono impostate anche per introdurre un downloader denominato CSVtyrei, chiamato così per la sua somiglianza con Vtyrei. Alcune sezioni del codice fornito sembravano non operative, indicando sforzi di sviluppo in corso.

Vtyrei (noto anche come BREEZESUGAR) si riferisce a un ceppo di payload e downloader iniziale che l'autore della minaccia aveva precedentemente utilizzato per distribuire un framework malware noto come RTY.

Si ritiene che il DoNot Team, noto anche con gli alias APT-C-35, Origami Elephant e SECTOR02, provenga dall'India. I loro attacchi prevedono l’uso di e-mail di spear phishing e app Android non autorizzate per propagare malware.

La valutazione più recente dei ricercatori si estende all’esame delle campagne di doppio attacco di questo attore delle minacce nell’aprile 2023, in cui hanno implementato i framework Agent K11 e RTY.

ElizaRAT utilizzato negli attacchi all'India

Questa divulgazione arriva sulla scia della rivelazione da parte di Zscaler ThreatLabz di nuove attività dannose intraprese da Transparent Tribe (noto anche come APT36) con sede in Pakistan. Questo gruppo ha preso di mira settori del governo indiano utilizzando un arsenale aggiornato di malware, che include un trojan Windows precedentemente non documentato denominato ElizaRAT.

ElizaRAT viene fornito come binario .NET e stabilisce un canale di comunicazione tramite Telegram, consentendo agli autori delle minacce di ottenere il controllo completo sull'endpoint preso di mira.

Transparent Tribe, attiva dal 2013, ha utilizzato tattiche come la raccolta di credenziali e la distribuzione di malware, spesso distribuendo programmi di installazione manomessi di applicazioni governative indiane come l'autenticazione a più fattori Kavach. Hanno anche utilizzato come armi framework di comando e controllo (C2) open source come Mythic.

A dimostrazione del fatto che questo gruppo di hacker ha rivolto la sua attenzione ai sistemi Linux, Zscaler ha notato di aver trovato un piccolo set di file di accesso al desktop che facilitano l'esecuzione di binari ELF basati su Python. Questi includono GLOBSHELL per l'esfiltrazione di file e PYSHELLFOX per rubare i dati della sessione dal browser Mozilla Firefox.